Что такое "правильная" платежная система?
Но вернемся к "правильной" платежной системе. Вроде и то, что система не дает торговцу возможности отслеживать транзакции не есть хорошо, и в то же время я говорю о том, что действительно, одной из задач платежной системы является прием транзакции у себя на сервере и недопущение попадания конфиденциальных данных (номера карты) в руки торговца. Вроде бы и так плохо, и по-другому плохо. Но это не совсем так. Поэтому я опишу сейчас то, как я вижу 'правильную' систему. Точнее, как я вижу варианты превращения российских платежных систем в 'правильные'. Здесь есть два возможных варианта.
1. Платежная система, не имеющая качественного механизма борьбы с мошенниками. Этот вариант может применяться только непродолжительное время, пока специалисты системы не разработают защиту от мошенников, которая сможет эффективно противостоять онлайновому воровству. В этом варианте платежная система должна принимать транзакции у себя на сервере, определять все возможные параметры пользователя, производящего транзакцию (от IP-адреса до определения, включены ли у него cookies и JavaScript) и, кроме уведомления о результатах авторизации, сообщать владельцу интернет-магазина все эти параметры, а также те реквизиты, которые клиент ввел в форму подписки. То есть e-mail, телефон, адрес – все, за исключением полного номера карты. В таком случае интернет-магазин действительно может строить систему борьбы с мошенничеством и эффективно противостоять сетевым мошенникам.
Обратите внимание – я употребил слово 'может' – не факт, что интернет-магазин будет развивать собственную систему борьбы с мошенничеством – скорее всего отдельно взятый магазин просто 'не потянет' создание эффективно работающей системы борьбы с мошенниками, но, во всяком случае, будет хотя бы иметь возможность мониторить риски и управлять ими. Повторюсь – такой вариант не сможет долго существовать в конкурентной среде, так как по мере появления платежных систем второго типа, банки просто будут отказываться от обслуживания интернет-магазинов, подключенных к системе первого варианта из-за наличия повышенного риска.
2. Платежная система, обладающая качественным механизмом борьбы с мошенниками. Этот вариант, на мой взгляд, и является той самой 'правильной' системой, которая рано или поздно вытеснит конкурентов на рынке (я не имею в виду биллинги – просто на рынке останутся 'правильные' платежные системы и биллинги). Такая система также принимает транзакции у себя на сервере, но, помимо обеспечения транспорта транзакции, осуществляет и антифродовый мониторинг, только такой, который понятен торговцу и который может обеспечить эффективную борьбу с онлайновым мошенничеством. Более того, торговец может варьировать параметры этой антифродовой системы – делать их либо мягче, либо жестче. В зависимости от того, какие параметры 'выставил' для себя торговец, банк-эквайер может оценить необходимый для себя уровень резервов, который должен создать этот торговец для покрытия возможных чарджбэков.
Вот тогда, когда торговец имеет возможность пользоваться качественной антифродовой системой, на разработку которой потрачены сотни тысяч долларов, когда торговец может сознательно ужесточать либо смягчать параметры антифродового мониторинга, когда он будет видеть в своей статистике сколько транзакций было отвергнуто, по каким причинам, какие параметры у принятых транзакций – тогда и можно будет требовать, чтобы торговец нес риски, связанные с его интернет-магазином. И банк, в котором обслуживается торговец, тоже может осуществлять мониторинг клиентского потока своего торговца на основании данных, полученных от платежной системы. В этом случае система действительно может отвечать за транспорт транзакции в платежный центр, а остальные риски перекладывать на торговца и банк-эквайер. Естественно, система должна также отвечать за то, что она правильно определяет параметры транзакции.
Если я недостаточно ясно описал данный вариант платежной системы, то вы можете посмотреть пример на сайте интернет-пеймент-гейтвея Plug ' n Pay. Это система, которая обрабатывает транзакции через несколько крупных процессинговых центров США и принимает на обслуживание клиентов, которые работают через ряд американских банков. У него имеется демо-статистика, с которой я и предлагаю ознакомиться в качестве примера того, какие функции и как должна осуществлять 'правильная' платежная система. Итак, начнем экскурсию. Для этого Вам нужно знать только логин и пароль в демо-статистику. Логин: pnpdemo , пароль: pnpdemo. В самой демонстрационной статистике можно нажимать любые кнопки и производить любые действия – для этого все и предназначено.
Антифродовая система. У Plug ' n Pay она называется Fraud Track 2. URL для входа в нее – pay1 .plugnpay .com/ admin/ fraudtrack/. Логин и пароль вы знаете.
Итак, мы видим список 'фильтров', из которых имеет возможность выбирать торговец, когда он настраивает защиту своего сайта от мошенничества.
AVS. Первой строчкой стоит фильтр по так называемой AVS (Address Verification System). Эта система проверяет соответствие адреса, который плательщик указал при совершении транзакции, адресу, на который держателю карты приходят выписки по его карте. В данном фильтре вы можете выбрать один из шести вариантов – от 'Принимать все транзакции' до 'Принимать только транзакции, где совпадает и адрес кардхолдера, и его zip -код, а также 'транзакции по неамериканским карточкам' (AVS возможен, к сожалению, только для карточек, эмитированных американскими банками).
CVV 2/ CVC 2:
Check to require CVV2/CVC2 data be submitted – Вы можете отметить, хотите ли вы, чтобы для совершения транзакции требовалось ввести коды CVV 2/ CVC 2.
Check to ignore AVS response if CVV 2/ CVC 2 data matches – можно поставить 'галочку', если Вы хотите игнорировать результат проверки AVS при правильном CVV 2/ CVC 2.
Check to reject if CVV 2/ CVC 2 information is not available from card holders bank – поставьте 'галочку', если вы не желаете принимать транзакции, по которым невозможно проверить CVV 2/ CVC 2 при запросе в банк-эмитент.
Customer Emails – поставьте 'галочку', если вы не хотите, чтобы держателю карты высылалось подтверждение о сделанной покупке на email , который он указал при совершении транзакции.
Merchant Emails – поставьте 'галочку', если вы не хотите, чтобы вам (торговцу) высылалось подтверждение о сделанной на вашем сайте покупке.
Network Merchant – поставьте 'галочку', если вы хотите, чтобы транзакции на вашем сайте анализировались с учетом истории транзакций у других торговцев (например, будут отсекаться IP -адреса, с которыми у многих других продавцов возникали проблемы). Можно также установить и уровень 'подозрительности' этого фильтра – от низкого до высокого.
Check Card Name – поставьте 'галочку', если вы хотите, чтобы система проверяла формат введения имени держателя карты.
IP Address Frequency Check – здесь можно выставить, сколько транзакций с одного IP-адреса вы позволяете принимать в течении одного часа. Данное ограничение не действует на IP-адреса, которые принадлежат AOL – этот американский провайдер 'выпускает' своих пользователей в Сеть только через свои прокси-сервера.
Card Number Frequency Check – здесь вы можете выставить, сколько транзакций с номера карты вы позволяете принимать в течении одного промежутка времени (например 1 транзакцию в течении 3 дней и 6 часов). Можете выбрать от 1 до "Неограниченно" и установить промежуток времени от 0 часов 0 минут до 33-х дней и 23 часов.
Match Country – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции, в которых страна биллингового адреса не совпадает со страной, в которой находится банк, выдавший карточку.
Match Zip Code – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции, в которых zip code биллингового адреса не совпадает со штатом, указанным покупателем. Дело в том, что AVS проверяет только номер дома и квартиры и zip code . Все буквенные значения (название улицы, города, штата) игнорируются. Это сделано для того, чтобы исключить 'отсечение' транзакций от тех пользователей, которые допустили ошибку в написании улицы, города, штата.
Block Foreign Cards – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции либо с карт VISA иностранных эмитентов, либо с карт MasterCard , либо и с тех и с других.
Block IP Addr – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции с IP -адресов, которые находятся в 'черном списке', который вы сами можете здесь же сформировать. Вы можете заблокировать как один IP -адрес, так и целую сетку.
Block Bank Bins – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции с карточек, выпущенных определенными банками.
Block Proxy – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции с анонимных прокси-серверов.
Block Email Domains – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции, при совершении которых были указаны адреса электронной почты с определенных доменов. Вы можете внести 'нежелательные' домены в список и легко перемещать их из списка 'нежелательных' в список 'разрешенных'. Внеся сюда домены, которые предлагают услуги бесплатной электронной почты, вы, тем самым, запретите прием транзакций, при совершении которых клиент указал в качестве своего адреса электронной почты почтовый ящик на одном из таких бесплатных доменов.
Bounced Emails – поставьте 'галочку', если вы хотите, чтобы система проверяла, существует ли указанный клиентом при совершении транзакции адрес электронной почты и доступен ли этот адрес. Вы можете указать URL страницы, на которую будет произведен редирект пользователя в случае ввода несуществующего либо недоступного адреса электронной почты. На этой странице вы можете разместить уведомление клиента о том, что его электронный почтовый ящик недоступен или не существует и попросить клиента повторить попытку транзакции и перепроверить правильность написания email'а или указать другой email.
Block Country – поставьте 'галочку', если вы хотите, чтобы отсекались транзакции с IP -адресов определенных стран. Здесь же вы можете сами определить, транзакции с IP-адресов каких стран вы не хотите принимать. Интересно, что по умолчанию в 'черном списке' стран находится и Россия.
Negative Database – здесь вы можете внести номер карточки в 'черный список' и указать при этом причину внесения (карта заявлена как украденная либо по этой карте пришел чарджбэк). Это поле очень важно для тех торговцев, которые ранее обслуживались в других платежных системах и хотели бы сохранить свою базу данных по клиентам, которые сделали чарджбэки. Системе это тоже, несомненно, очень выгодно – она бесплатно пополняет свой 'черный список'.
Positive Database – здесь вы можете внести номер карточки в 'белый список' – например, на всякий случай записать сюда карточки ваших постоянных покупателей, которые, как вы уверены, не сделают чарджбэк. Эта функция также полезна для тех, кто перешел с другой платежной системы.
Я только перечислил вам настройки, которые может выбрать торговец для защиты своего бизнеса от мошенничества. Напомню, что механизм предупреждения мошенничества и борьбы с ним разработан не интернет-магазином, а самой платежной системой, поэтому и банк-эквайер, и торговец уверены в качестве этой системы. Между тем, торговцу предоставляются широкие полномочия при построении системы защиты от онлайнового мошенничества своего бизнеса. Не могу не отметить, что все пункты, которые присутствуют в данном разделе, выбраны с тем, чтобы с большой эффективностью бороться с фродом (я наткнулся на этот сайт уже после того, как наша компания разработала свою систему предупреждения и выявления потенциально мошеннических транзакций и поразился, увидев, что принципы работы наших антифродовых систем совпадают где-то на 70% – мы решили перестраховаться и сделали более жесткую систему защиты от мошенничества).
Но работа платежной системы с торговцем не заканчивается только транспортом транзакции и антифродовой системой. Торговец должен иметь возможность видеть каждую транзакцию со всеми параметрами, которые были указаны покупателем при регистрации (за исключением полного номера карты), иметь возможность отменить любую транзакцию, остановить автоматический ребиллинг транзакции, изменить клиенту логин и пароль для входа на сайт, послать от имени платежной системы сообщение на email клиента с измененными логином и паролем, занести клиента в 'черный список' по всем параметрам (имя, адрес, e-mail, номер карты) и т.д. Можно очень долго рассказывать, какие услуги, помимо транспорта транзакции должна предоставлять 'правильная' система своим клиентам, но вы лучше зайдите в административную зону демонстрационной статистики и посмотрите сами. URL – pay1 . plugnpay . com / admin/, логин и пароль – те же самые.
Надеюсь, после этого примера вы поняли, что имеется в виду под 'правильной' платежной системой. Примерно такой, как в этом примере она и должна быть. И главное в этой системе – даже не то, что с ней удобно работать торговцу. На это можно было бы махнуть рукой – наш человек привык к трудностям, раз живет в этой стране. Главное – это то, что подобные системы позволяют продавцам реально отслеживать и управлять рисками, что приведет к значительной минимизации рисков уже для банков, обслуживающих интернет-магазины. А это значит, что больше банков будут обслуживать этот весьма перспективный и очень прибыльный рынок. Да и имидж России в глазах международных платежных систем и зарубежных эквайринговых точек рано или поздно исправлять надо – а он исправится, если будет приходить все меньше чарджбэков по транзакциям, где в выписках стоит аббревиатура RU.